
En un nuevo panorama económico en el que la información personal se ha convertido en uno de los activos más valiosos del mercado, nos encontramos con una peculiaridad: sus propietarios desconocen su valor. El riesgo derivado de este desconocimiento afecta a derechos tan fundamentales como la intimidad, la privacidad y la libertad para decidir el uso de nuestros datos.
Este artículo se centra en analizar las tres vías por las que, en aplicación del Reglamento General de Protección de Datos (en adelante, RGPD), se pueden llevar a cabo las transferencias internacionales de estos datos desde la Unión Europea (en adelante, UE).
TABLA DE CONTENIDO
- 1.- Concepto y fundamento de las transferencias internacionales de datos personales en el RGPD
- 2.- Principio general de prohibición de las transferencias internacionales en el RGPD
- 3.- Transferencias internacionales basadas en una decisión de adecuación
- 3.1.- Criterios para evaluar el nivel adecuado de protección
- 3.2.- Efectos de la decisión de adecuación
- 4.- Transferencias internacionales mediante las garantías adecuadas
- 4.1.- Garantías que no requieren autorización previa
- 4.2.- Garantías que requieren autorización previa
- 4.3.- Especial referencia a las normas corporativas vinculantes
- 5.- Transferencias internacionales basadas en las excepciones para situaciones específicas
- 6.- Caso específico de Estados Unidos de América (EE.UU.) después de la sentencia Schrems II, que invalida el Privacy Shield
- 6.1.- Consecuencias de la invalidez del Privacy Shield en la práctica
- 6.2.- Ejemplos concretos: el caso de las empresas Mailchimp y Dropbox
1.- Concepto y fundamento de las transferencias internacionales de datos personales en el RGPD
El RGPD no contiene entre sus definiciones la de transferencia internacional de datos, como sí incluye la de tratamiento transfronterizo. Define este último como la comunicación o envío de datos cuando se lleva a cado de principio a fin -emisor y receptor- dentro de las fronteras de la UE (art. 4.23) RGPD).
Aplicando el contenido de esta definición a sensu contrario y ampliándolo con el del art. 44 RGPD, podemos extraer que estaremos ante una transferencia internacional cuando los datos se envíen a terceros países y a organizaciones internacionales (en adelante también, OOII).
Por su parte, en este contexto son “terceros países” todos aquellos que no conformen el Espacio Económico Europeo: países de la UE, Islandia, Liechtenstein y Noruega.
Por lo que se refiere a las OOII, se incluyen en esta categoría de transferencias por ser estructuras independientes con autonomía jurídica que se rigen por sus propios Tratados de constitución.
2.- Principio general de prohibición de las transferencias internacionales en el RGPD
La regulación de las transferencias internacionales en el RGPD parte de un principio general de prohibición: las transferencias de datos personales a terceros países y OOII no podrán llevarse a cabo, salvo en caso de cumplirse con las disposiciones incluidas en el RGPD, y siempre que el responsable y encargado del tratamiento cumplan con las condiciones incluidas en el mismo.
Dicho esto, el RGPD prevé las que denominamos vías para la realización de las transferencias internacionales. Estas son tres:
- Transferencias basadas en una decisión de adecuación, como primera vía.
- Transferencias mediante las garantías adecuadas, como segunda vía.
- Transferencias mediante la concurrencia de excepciones, como tercera vía.
3.- Transferencias internacionales basadas en una decisión de adecuación
La primera de las vías parte de una decisión de la Comisión por la que se considera que el tercer país o la organización internacional que recibirá los datos personales ofrece un nivel de protección adecuado.
A pesar la indeterminación en cuanto a lo que se considera adecuado, el legislador comunitario ha especificado una serie de condiciones o circunstancias a tener en cuenta, siendo éstas las que deberán determinar la existencia o no de dicha adecuación.
En este sentido recomiendo la lectura del documento elaborado por el Grupo de Trabajo del art. 29 sobre las Referencias sobre adecuación, aprobado el 28 de noviembre de 2017 y revisado por última vez y aprobado el 6 de febrero de 2018, complementario a la hora de entender los extremos que se incluirán en el análisis de la Comisión Europea.
3.1.- Criterios para evaluar el nivel adecuado de protección
- El marco jurídico general del tercer país o la organización internacional.
- Autoridades de control independiente: será determinante la existencia de una o varias, de funcionamiento efectivo, a las que se le atribuye tres objetivos, según el El primero de ellos es el de “garantizar y hacer cumplir las normas en materia de protección de datos”, para lo cual contarán con los poderes de ejecución adecuados. El segundo es el de “asistir y asesorar a los interesados en el ejercicio de sus derechos”. Finalmente, el objetivo de “cooperar con las autoridades de control de la UE y Estados Miembros”.
- Compromisos internacionales: la existencia y el contenido hipotéticos acuerdos internacionales, que sean vinculantes, en materia de protección de datos. También el hecho de pertenecer a sistemas regionales o multilaterales.
3.2.- Efectos de la decisión de adecuación
El efecto principal de la decisión es el hecho de que se podrán llevar a cabo transferencias internacionales con el correspondiente tercer país u organización internacional sin necesidad de autorización previa alguna. Ahora bien, hay que tener en cuenta que esta decisión es objeto de revisión por parte de la propia Comisión, con la consecuencia de que pueda ser modificada, revocada o suspendida en el futuro.
En este enlace puede consultarse la lista de países que, a día de hoy, cuentan con una decisión de adecuación de la Comisión Europea.
4.- Transferencias internacionales mediante las garantías adecuadas
El RGPD introduce la posibilidad de que se lleven a cabo las transferencias mediante la segunda vía en caso de que no exista la decisión de adecuación, “siempre que los interesados cuenten con los derechos exigibles y acciones legales efectivas”.
Las garantías se clasifican en aquellas que requieren su confirmación mediante autorización previa por parte de la autoridad nacional competente, y aquellas que no requieren autorización alguna.
4.1.- Garantías que no requieren autorización previa
- Un instrumento jurídicamente vinculante y exigible entre autoridades u organismos públicos;
- Normas corporativas vinculantes, a las que me referiré en las líneas siguientes;
- Cláusulas contractuales tipo de protección de datos, incluyendo aquellas adoptadas por la Comisión y aquellas adoptadas por una autoridad de control y aprobadas posteriormente por la Comisión;
- Códigos de conducta; y
- Mecanismos de certificación.
En cuanto a las cláusulas contractuales tipo adoptadas por la Comisión, lo han sido mediante las siguientes Decisiones de la Comisión Europea:
4.2.- Garantías que requieren autorización previa
Se trata de dos únicos supuestos, a saber:
- Cláusulas contractuales entre el responsable o el responsable y el responsable, encargado o destinatario de los datos personales en el tercer país u organización internacional;
- Disposiciones que se incorporen en acuerdos administrativos entre las autoridades u organismos públicos que incluyan derechos efectivos y exigibles para los interesados.
4.3.- Especial referencia a las normas corporativas vinculantes
Si ya es notorio el hecho de que en los últimos años los flujos internacionales de datos personales han adquirido una carga inmensa, con la presencia grupos de empresas y compañías multinacionales este fenómeno no ha hecho más que crecer.
También ha traído consigo el planteamiento de diversas cuestiones desde el punto de vista de la protección de los datos y las transferencias que se llevan a cabo entre las filiales o las partes de estas empresas o grupos.
Para dar solución a este planteamiento y permitir la transferencia de los datos entre las filiales de un mismo grupo de empresas o entre los miembros de estos grupos se crean las llamadas normas corporativas vinculantes, que representan una forma de aportar las garantías adecuadas que se requieren en el artículo 46 del RGPD.
En España, la Agencia Española de Protección de Datos ofrece y publicita un Registro de Normas corporativas vinculantes.
Definidas en el RGPD como “las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicada a una actividad económica conjunta”.
Además de estar reconocidas en el RGPD como una de las garantías que no requieren de una autorización previa, el Reglamento dedica un artículo (el artículo 47 RGPD) a la regulación de los aspectos más básicos de las normas corporativas vinculantes o BCR (por sus siglas en inglés: “Binding Corporate Rules”), reflejándose ello en la gran importancia que han adquirido este conjunto de normas en la actualidad.
5.- Transferencias internacionales basadas en las excepciones para situaciones específicas
Se trata de una última vía mediante la cual se puedan llevar a cabo las transferencias internacionales cuando no exista una decisión de adecuación, ni tampoco se haya prestado ninguna de las garantías, con o sin autorización.
El hecho de que no se apliquen los mecanismos de protección y garantía analizados no implica que no se lleve a cabo ningún tipo de control, sino que se acompañará de las necesarias soluciones para que los interesados vean garantizados sus derechos.
Podrán, por tanto, realizarse las transferencias internacionales cuando se de alguna de las siguientes circunstancias:
- Se cuente con el consentimiento del interesado. Se entiende por consentimiento en el Reglamento la manifestación de voluntad libre, específica, informada e inequívoca del interesado. Así se establece en el Reglamento, y así se ha reiterado en el Documento del Grupo de Trabajo del art. 29 “directrices sobre el consentimiento en el sentido del Reglamento”, de 28 de noviembre de 2017, y revisadas el 10 abril de 2018.
- Sean necesarias para ejecutar un contrato entre el interesado y el responsable del tratamiento o una medida precontractual adoptada a solicitud del interesado; o para celebrar o ejecutar un contrato entre el responsable del tratamiento y otra persona física o jurídica, en beneficio del interesado.
- Existan razones de interés público.
- Sean necesarias para la formulación, ejercicio o defensa de reclamaciones.
- Sean necesarias para la protección de intereses vitales del interesado u otras personas, en caso de interesado incapacitado física o jurídicamente para consentir.
- Las transferencias se lleven a cabo desde un registro público, abierto a la consulta del público en general o de cualquier persona que pueda acreditar un interés legítimo. Estas transferencias se harán respetando una serie de condiciones, a saber, que no se abarque con la transferencia la totalidad de los datos personales que consten, así como tampoco categorías enteras de datos personales.
6.- Caso específico de Estados Unidos de América (EE.UU.) después de la sentencia Schrems II, que invalida el Privacy Shield
Previamente a la sentencia del Tribunal de Justicia de la Unión Europea (en adelante, TJUE) conocida como Schrems II, las transferencias internacionales a EEUU se llevaban a cabo a partir de una decisión de adecuación de la Comisión conocida como Privacy Shield (Decisión 2016/1250 sobre la adecuación de la protección conferida por el Escudo de la privacidad UE- EE.UU). Si tienes alguna consulta legal sobre este tema, contacta aquí.
Ahora bien, el 16 de julio de 2020 el TJUE adopta la citada sentencia estableciendo que el Derecho nacional estadounidense (en concreto, la Sección 702 de la FISA de los Estados Unidos) no ofrece las garantías necesarias para que se considere cumplida la protección sustancialmente equivalente que requiere una decisión de la Comisión.
El motivo es el hecho de que, en base a esta legislación, las autoridades públicas de los EE.UU pueden acceder y recabar los datos personales transferidos desde la UE para fines de seguridad nacional. El TJUE ha considerado que esta posibilidad no es proporcional por considerarse que no se limita a los datos estrictamente necesarios.
6.1.- Consecuencias de la invalidez del Privacy Shield en la práctica
Como consecuencia de estas consideraciones del TJUE, las transferencias de datos a los EE.UU. únicamente pueden llevarse a cabo por una de las demás vías previstas en el RGPD antes mencionadas: alguna de las garantías previstas como segunda vía, o con base en alguna de las excepciones para situaciones específicas.
Estos instrumentos deberán ser, en su caso, evaluados en cada caso concreto, teniendo en cuenta las circunstancias existentes, así como las medidas complementarias que se hayan aplicado.
6.2.- Ejemplos concretos: el caso de las empresas Mailchimp y Dropbox
Mailchimp es una empresa que presta servicios de marketing por correo electrónico (email marketing) a otras compañías. A través de este servicio, otras empresas pueden remitir a sus clientes, mediante correo electrónico, sus newsletters así como realizar campañas publicitarias.
Tras la publicación de la invalidez del Privacy Shield, Mailchimp ha optado por utilizar, para las transferencias internacionales de datos, las cláusulas contractuales tipo. Así lo indica expresamente en su propia web.
Fuente: https://mailchimp.com/es/
Por lo que se refiere a Dropbox, una de las plataformas de cloud computing más utilizadas a nivel mundial, nos encontramos con el caso contrario. Al acceder al apartado de su página web dedicado a la Política de Privacidad vemos que, a fecha de hoy, la empresa sigue haciendo referencia al anulado Privacy Shield cuando analiza las transferencias de datos realizadas desde la UE a EE.UU. Lo cierto es que no se especifica, en este caso, cuáles son los mecanismos utilizados a la hora de adecuarse a la regulación europea en el nuevo contexto post Schrems II.
Fuente: https://www.dropbox.com/es_ES/
Finalmente, me gustaría resaltar el hecho de que el Comité Europeo de Protección de Datos haya publicado una serie de Recomendaciones para realizar debidamente transferencias internacionales de datos personales desde la UE a EE.UU., tras la citada sentencia. Este documento tiene como objetivo guiar a los responsables del tratamiento a identificar la necesidad de contar con medidas adicionales en cada caso, así como a identificar las más adecuadas.
* Si buscas abogados especialistas en privacidad y protección de datos, te recomendamos contactar aquí.
Si deseas estar al día con las últimas publicaciones de Juristas con Futuro, no olvides suscribirse al portal desde aquí.

"NO REPRODUZCAS SIN CITAR LA FUENTE"
Querido lector: dispones del permiso del editor de Juristas con Futuro y del mismo autor de este artículo para reproducir todo o una parte del mismo, siempre que cites la fuente de origen y que no consideres importante que Google penalice tu web por tener contenido duplicado. Así que, simplemente copia lo siguiente:
Sara Hervías Costa. Transferencias internacionales de datos personales en el RGPD [online]. Juristas con Futuro. 29/01/2021. https://www.juristasconfuturo.com/recursos/doctrina-juridica/transferencias-internacionales-de-datos-personales-en-el-rgpd/. Consulta: [indicar la fecha en que has consultado el artículo]